Webinar ActiveProtect — backup nowej generacji Zapisz się →

Dla biznesu · NIS2 i UKSC 2026

NIS2 i UKSC — dostosowanie z sensem, nie z paniki

Nowelizacja UKSC obowiązuje od 3 kwietnia 2026 roku. To nie jest czarna magia — większość wymagań realizujesz już w jakimś stopniu. Naszym zadaniem nie jest budowanie wszystkiego od zera, ale wykorzystanie tego co działa, dodanie brakujących elementów i pomoc w udokumentowaniu zgodności. Każda nasza oferta zaczyna się od audytu — bez niego nie wiemy, co realnie trzeba zrobić.

Zamów audyt zgodności → Jak pracujemy
3.04.2026data wejścia w życie
12 mies.na wdrożenie SZBI
do 10M €maksymalna kara

Jak pracujemy

6 etapów dostosowania do NIS2

Każda nasza oferta zaczyna się od audytu — bez tego nie jesteśmy w stanie powiedzieć, co realnie trzeba zrobić w Twojej firmie. Możemy poprowadzić cały proces od końca do końca albo wesprzeć tylko w wybranych etapach. Wszystko zależy od tego co już masz i kto u Ciebie pracuje.

1. Audyt zgodności (gap analysis)

Punkt wyjścia każdego projektu. Sprawdzamy, czy podlegasz NIS2, w jakim zakresie, gdzie jesteś dziś, a gdzie wymagania chcą Cię mieć. Jeśli masz już ISO 27001 albo polityki RODO — ich nie wyrzucamy, tylko sprawdzamy co jeszcze trzeba dopisać. Wynik: konkretna lista braków z priorytetami i szacowanym kosztem.

2. Samoidentyfikacja

Sprawdzamy, czy Twoja firma kwalifikuje się jako podmiot kluczowy czy ważny — według sektora, wielkości i przychodów. Pomagamy w przygotowaniu wniosku do wykazu w systemie S46. Termin to 6 miesięcy od kiedy spełnisz kryteria — nie wystarczy, że firma ma 50 osób; liczy się sektor i charakter usługi.

3. Analiza ryzyka

NIS2 nie narzuca konkretnych narzędzi — wymaga analizy ryzyka. Robimy ją wspólnie z Tobą: identyfikujemy aktywa krytyczne, scenariusze zagrożeń, prawdopodobieństwo i skutki. Bez tego dalsze decyzje są ślepe — zarówno o tym, w co warto zainwestować, jak i o tym, czego można uniknąć.

4. SZBI i dokumentacja

System Zarządzania Bezpieczeństwem Informacji to serce zgodności. Polityki, procedury, role i odpowiedzialności. Tworzymy dokumentację, która jest zgodna z UKSC i przy tym czytelna dla Twojego zespołu — nie kserówkę szablonów, tylko żywe dokumenty. Bazujemy na ISO 27001 jeśli już je macie, lub budujemy od zera.

5. Wdrożenie środków technicznych

Tylko te, które wynikają z analizy ryzyka. MFA, EDR/XDR, SIEM, segmentacja sieci, MDM dla telefonów, backup z testami odtworzeniowymi, zarządzanie podatnościami. Korzystamy z tego, co już masz w infrastrukturze — dokupujemy i wdrażamy tylko brakujące elementy. Zaczynamy od najwyższych ryzyk.

6. Procedury incydentów i ciągłość

NIS2 wymaga zgłaszania poważnych incydentów w 24h (wstępne) i 72h (szczegółowe). Przygotowujemy procedurę reagowania, ścieżkę do CSIRT, szablon raportów, plan ciągłości działania (BCP) i odtworzeniowy (DRP) — z testami. Bez tego raportowanie w realnym incydencie jest improwizacją.

Czy NIS2 dotyczy mnie?

Sprawdź samoidentyfikację — to Twój obowiązek

UKSC nie wskazuje firm decyzją administracyjną — to Ty masz obowiązek sam zweryfikować, czy podlegasz przepisom. Brak samoidentyfikacji nie chroni przed karą. Najczęściej kryterium to sektor + wielkość firmy.

Podmioty kluczowe

Najczęściej duże firmy (250+ pracowników lub 50M+ EUR obrotu) z sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, woda pitna i odpadowa, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, kosmos. Kary do 10 mln EUR lub 2% obrotu.

Podmioty ważne

Średnie firmy (50+ pracowników lub 10M+ EUR obrotu) z sektorów: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja chemikaliów, produkcja i dystrybucja żywności, produkcja (różne kategorie), dostawcy usług cyfrowych, badania naukowe. Kary do 7 mln EUR lub 1,4% obrotu.

Pośrednio — łańcuch dostaw

Nawet jeśli formalnie nie podlegasz NIS2, możesz zostać objęty wymaganiami przez kontrakty. Duże podmioty kluczowe muszą weryfikować bezpieczeństwo dostawców — co przekłada się na klauzule umowne, kwestionariusze bezpieczeństwa, audyty u Ciebie. Często łatwiej spełnić wymagania niż stracić klienta.

Osobista odpowiedzialność zarządu

To największa zmiana mentalna w stosunku do poprzedniej ustawy. Kierownik podmiotu (zarząd, dyrektor) ponosi osobistą odpowiedzialność za zaniedbania — kara administracyjna do 600% wynagrodzenia. Zarząd musi też odbyć obowiązkowe szkolenie z cyberbezpieczeństwa. To nie jest już sprawa „działu IT".

Najtrudniejsza nie jest technologia, tylko podejście

NIS2 to nie magiczne wymaganie. To dyscyplina.

Większość firm które dziś trafiają do nas po pomoc, ma już 60-70% wymagań spełnionych — tylko o tym nie wie albo tego nie udokumentowało. MFA na koncie admina? Macie. Backup z testami? Zwykle działa. Polityki haseł? Wpisane w AD. Naszą rolą nie jest budowanie nowego — tylko spojrzenie na to co macie z perspektywy NIS2 i pokazanie, czego konkretnie brakuje. Bez chowania głowy w piasek, ale też bez paniki.

Zamów audyt zgodności →

FAQ

Pytania o NIS2 i UKSC

Ustawa weszła w życie 3 kwietnia 2026. Najważniejsze terminy: do 3 października 2026 — samoidentyfikacja i wniosek o wpis do wykazu (S46). Do 3 kwietnia 2027 — wdrożenie SZBI, procedur zarządzania ryzykiem i incydentami. Do 3 kwietnia 2028 — pierwszy obowiązkowy audyt dla podmiotów kluczowych. Kary administracyjne mogą być nakładane od kwietnia 2028 (2-letnie moratorium). Ale moratorium nie zwalnia z obowiązków — kontrole mogą być wcześniej, a egzekucja po 2 latach.
To bardzo dobra baza, ale nie pełne pokrycie. ISO 27001 i NIS2 mają duży obszar wspólny (ok. 70-80%) — analiza ryzyka, polityki, kontrola dostępu, ciągłość działania są wspólne. Ale NIS2 dodaje rzeczy specyficzne: obowiązek raportowania incydentów do CSIRT w określonych terminach, samoidentyfikacja w S46, obowiązkowe szkolenia kierownictwa, zabezpieczenie łańcucha dostaw według polskich wymogów, integracja z S46. Jeśli masz ISO 27001 — wykorzystamy je w pełni i dopiszemy tylko to czego brakuje. To najtańszy scenariusz.
Nie ma takiej listy obowiązkowych narzędzi. NIS2 wymaga „odpowiednich środków technicznych i organizacyjnych proporcjonalnych do ryzyka". To znaczy: jeśli analiza ryzyka pokazuje, że jesteś szczególnie narażony na ataki ransomware na endpointy — EDR jest praktycznie nieunikniony. Jeśli masz dużą flotę urządzeń mobilnych z dostępem do danych firmowych — MDM. Jeśli zarządzasz infrastrukturą krytyczną z dziesiątkami systemów — SIEM. Ale dla mniejszego podmiotu ważnego sensowny zestaw to często MFA + EDR + backup + monitoring zewnętrzny w modelu MSP. Każde wdrożenie zaczyna się od analizy ryzyka.
Tak — to jeden z najczęstszych modeli współpracy. Najczęściej klienci chcą żebyśmy zrobili audyt + analizę ryzyka + dokumentację SZBI (bo to wymaga doświadczenia z UKSC), a wdrożenie techniczne robi ich zespół IT z naszym wsparciem konsultingowym. Albo na odwrót: dokumentację piszą sami, a my pomagamy z wdrożeniem narzędzi. Albo cały projekt mają wewnętrznie, a my robimy tylko końcowy audyt zgodności jako niezależny weryfikator. Każdy z tych scenariuszy jest rozsądny. Zaczynamy od rozmowy o tym, co już potraficie i gdzie potrzebujecie wsparcia.
Audyt zgodności (gap analysis) to weryfikacja stanu faktycznego względem wymogów UKSC. Sprawdzamy: dokumentację (polityki, procedury, regulaminy), procesy organizacyjne (zarządzanie ryzykiem, incydentami, dostawcami), środki techniczne (kontrola dostępu, monitoring, kopie zapasowe, segmentacja sieci, ochrona endpointów). Forma: wywiady z administratorami i kierownictwem, przegląd dokumentacji, weryfikacja wybranych konfiguracji systemów. Czas: dla MŚP zwykle 2-4 tygodnie. Wynik to raport z listą braków uporządkowaną według priorytetu, szacowanym kosztem dostosowania i propozycją harmonogramu — gotowy materiał do decyzji zarządu.
Kary administracyjne dla podmiotu kluczowego — do 10 mln EUR lub 2% rocznego światowego obrotu (większa z tych kwot). Dla podmiotu ważnego — do 7 mln EUR lub 1,4% obrotu. Minimalna kara: 20 tys. zł (kluczowe), 15 tys. zł (ważne). Kara za każdy dzień zwłoki w wykonaniu nakazu organu: 500-100 tys. zł. Osobista odpowiedzialność kierownika do 600% wynagrodzenia. Ale kara administracyjna to nie wszystko — w razie incydentu dochodzi koszt przestoju, utrata danych, roszczenia kontrahentów, utrata klientów (zwłaszcza przy NIS2 łańcucha dostaw — duzi nie chcą ryzykować pracy z dostawcą bez compliance). Realny koszt jest często wyższy niż kara.